Presentacin

Servios Confiveis

Parceiro

Tiago TavaresBacharel em Sistemas de Informao / UNIFIEO, OsascoPs-graduado em Gerenciamento de Redes e Segurana da Informao / UNIFIEO, Osasco12 anos de experincia em TI, sendo 5 focados em Segurana da Informao.Entre as principais certificaes esto LPI-2, ComTIA Security+ e CISSP.

tiagotvrs@gmail.com@tiagotvrs

n

AgendaIntroduo Segurana da Informao.Certificao CISSP.Curso de Introduo Certificao CISSP (CIC2).Servios Confiveis

n

IntroduoSegurana da Informao

n

Representao daSegurana da Informao

Poltica de seguranaPessoasProcessosTecnologiaConfidencialidadeIntegridadeDisponibilidadeIlustrao: arquivo pessoal de Ricardo Leiva.

n

Desafios dosProfissionais de SeguranaSegurana da informao na realidade uma complexa composio de variados campos de estudo, incluindo:SociologiaCriminologiaPsicologiaCriptologiaAntropologiaEtiologiaVirologiaTecnologiaReferencia: Information Security Management Handbook, 6th Ed. Vol. 2, Harold F. Tipton and Micki Krause, 2008, Auerbach Publication, Preface.

n

CertificaoCISSP

n

Viso da Certificao CISSPPerspectiva holstica da Segurana da Informao.

Conceitual;Padronizao dos termos utilizados na rea;Viso gerencial.Desafio: como reter grandes quantidades de informao.

n

Novos domnios CISSPDomnioSecurity & Risk ManagementAsset SecuritySecurity EngineeringCommunications & Network SecurityIdentity & Access ManagementSecurity Assessment & TestingSecurity OperationsSecurity in the Sw Development Lifecycle

n

Obter aproveitamento de no mnimo 70% no exame CISSP de 250 questes e 6 horas de durao;Experincia de 5 anos em pelo menos 2 domnios do CBK;Aprovao do endorserment assinado por um CISSP.Manter:Mnimo de 40 CPEs por ano (Continuing Professional Education Credits);Mnimo de 120 CPEs no ciclo de 3 anos;Pagamento da manuteno anual, AMF, US$85.Requisitos para obter e manter a certificao CISSP

n

Proteger a sociedade, comunidade e infraestrutura;Agir de forma, honorvel, honesta, justa, responsvel e legal;Prover servios de forma diligente e competente;Proteger e disseminar a profisso.Cdigo de tica da (ISC)

n

CIC2

n

Pblico alvo do CIC2ObjetivoFrequnciaParticipao no simuladoConhecimentomn. 80%OpcionalCertificaomn. 80%Recomendado

Obs.: requisito frequncia mnima de 80% para solicitar certificado de participao.

n

Estrutura do cursoJul/15Jun/16

CIC2 2015/2016Apresentaes (Teoria)Resoluo de questes (Prtica)Jul/15Jun/16

CAC2 2015/2016

n

Formato encontros de ApresentaesUm curso completo por ano;Durao de aprx. 10 meses para cada curso;Encontros quinzenais, aproximadamente dois Sbados por ms;Total de 10 encontros por semestre;Um domnio por encontro;Durao de 4 horas para cada encontro, das 9:00h s 13:00h.

n

Formato encontros de Resoluo de QuestesDurao de 4h por encontro, das 9:00h s 13:00hPr-requisito: ter participado do CIC2, parcial ou integralmente.

n

O que o CIC2 ofereceTotal de at 160 horas de aula;Calendrio facilita estudo e assimilao;Interatividade e Participao;Orientao;Resposta a dvidas;Tcnicas de resposta a questes;Simulado com 250 questes;Preparo psicolgico e de resistncia fsica.Nosso Objetivo: Conhecimento.Passar no exame CISSP consequncia.

n

Livro utilizadoOfficial (ISC)2 Guide to the CISSP CBK, 4th Edition.

n

Interessado em participar:de imediato:E-mail para: coordenador_cic2@issa.org.bra partir do prximo semestre:https://www.facebook.com/IssaBrasilPrximos passos

n

Servios Confiveis

n

Official (ISC)2 Guide to the CISSP CBK, 4th Edition.Security Guidance For Critical Areas Of Focus in Cloud Computing - Cloud Security AllianceNIST papers

Referncias

n

Houston, we have a problem.....

n

Contratempo | Revs | Tragdia

n

n

n

IntroduoSegurana administrativaSegurana de mdiasGerenciamento de ativosContinuidade das operaesGerenciamento de resposta a incidentesCloud ComputingTpicos

Segurana em Operaes: principalmente preocupado com a proteo e controle de ativos de processamento de informaes em centralizado e ambientes distribudos.Operaes Seguras: preocupados principalmente com as tarefas dirias necessria para manter os servios de segurana operacional confivel e eficiente.Introduo

IntroduoSegurana em Operaes a qualidade dos outros servios. Operaes Seguras so um conjunto de servios em sim mesmo.Referencia: Official (ISC)2 Guide to the CISSP CBK 2nd Ed., Harold F. Tipton, 2010, CRC Press, page 540-541.Segurana em OperaesProteo dos ativos;Controle dos ativos;Qualidade dos servios de TI.Tarefas dirias de Segurana;Conjunto de Servios de Segurana;XOperaes Seguras

n

SeguranaAdministrativa

http://download.isdecisions.com/Images/manifesto/photo/user-suspects.jpg

Um aspecto fundamental das operaes de segurana garantir que todos os controles estejam corretamente implementados para evitar que pessoas de forma intencional ou no intencional possam comprometer a confidencialidade, integridade e disponibilidade dos dados.

Segurana administrativa prov os controles direcionados ao manuseio humano dos dados.Segurana Administrativa

Etiquetas (Labels)Objetos possuem etiquetas, e sujeitos possuem acessos (clearances). As etiquetas de objetos usados por governos de estado so confidential, secret ou top secret.Top secret seria aplicado para toda informao cujo contedo, caso fosse divulgado, impactaria irreversivelmente segurana nacional.Secret seria aplicado para toda informao cujo contedo, caso fosse divulgado, causaria srios danos segurana nacional.Confidential seria aplicado para toda informao cujo contedo, caso fosse divulgado, haveria a chance de causar algum dano segurana nacionalO setor privado tem adotado labels do tipo Pblico, Uso interno, Uso Restrito, Confidencial.Classificao da Informao

Um clearance determina se um usurio poder ou no estar autorizado a acessar um nvel especfico de informao. Clearances devem determinar a atual e futura confiabilidade de uma pessoa.Uma forma de avaliar a confiabilidade de um indivduo saber se...O indivduo possui dvidas?Possui vcios em drogas, lcool ou jogos de azar?Possui algum segredo que poderia ser usado para chantage-lo?Clearance

A segregao de tarefas permite uma organizao a dividir entre os empregados a responsabilidade do acesso privilegiadoQuando mais de uma pessoa realiza uma transao contendo informaes sensveis, cada pessoa incumbida de supervisionar o trabalho do outro, pois a execuo efetiva do seu trabalho depende da informao ntegra recebida.Exemplo: msseis nuclearesSegregao de Tarefas

35

http://o.onionstatic.com/images/15/15184/2x1/1200.jpg?7427Segregao de Tarefas

O revezamento de funes se trata do processo que requer diferentes membros a realizar a mesma tarefa. Ao revezar os membros na execuo da tarefa, a organizao se protege ao ter este trabalho sendo capaz de ser executado por diferentes pessoas com a mesma performance.

O revezamento evita o collusion (conspirao), onde dois ou mais membros corrompem a segurana de um sistema.

Este controle pode ser detective (detectivo) ou deterrent (impeditivo). Detectivo pelo fato do revezamento poder mostrar fraudes que j ocorremImpeditivo pelo sujeito temer ser pego realizando ilegalidadesRevezamento de Funes

Afastamento de indivduos atravs de frias foradas para que seja investigado m conduta.O NDA ou acordo de confidencialidade o documento legal que deve ser assinado por aquele que ter acesso informaes confidenciais e que se responsabiliza por manter a confidencialidade de toda a informao sensvel.Funcionrios novos, fornecedores, consultores sempre devem assinar o NDA antes de obter acesso s informaes.

Afastamento / Frias ForadasNon-disclosure agreement

A verificao de antecedentes que possam comprometer o perfil de um indivduo que queira ocupar uma posio que requer alta segurana ou que seja cargo de confiana

HospitaisEscolasInstituies FinanceirasAeroportosGovernoVerificao de Antecedentes

39Ou aplicar modelo Terry Tate

Gerenciamento de mdias

41

Assim como a segurana e controles relacionados a pessoas dentro de uma organizao seja de extrema importncia, processos para o manuseio de informao/mdias necessitam de ateno.

Informaes sensveis requererem proteo, portanto o acesso aos meios de armazenamento deve ser controlado. O objetivo discutir os conceitos que so importantes componentes de uma slida postura em segurana da informao.

Segurana de mdias sensveis

43Segurana de mdias sensveisEtiquetarManusearArmazenamentoRetenoDestruioWipingDegaussingOverwritingShredding

Gerenciamento de ativos

45

De forma geral, operaes de segurana da informao requerem que organizaes foquem em sistemas, pessoas, dados e mdias.

Um dos pontos vitais para alcanar a segurana em sistemas cuidar do seu ciclo de vida.Gerenciamento de ativos

Gerenciamento de ConfiguraoAvaliao, coordenao, aprovao e desaprovao, e implementao de mudanas em artefatos que so usados para construir e manter sistemas. Um artefato pode ser um software ou um hardware.

Conceito inicialImplementaoTesteBaseliningConstruoLanamentoManuteno

O scan de vulnerabilidades o meio de descobrir configuraes errneas e software desatualizado em um ambiente.

O termo gerenciamento de vulnerabilidades ao invs de scan de vulnerabilidades usado pois devemos enfatizar a necessidade do gerenciamento dessas informaes. A correo ou mitigao das vulnerabilidades devem ser priorizadas baseado no grau de risco e na facilidade de correo.Gerenciamento de vulnerabilidades

Para manter a consistncia da segurana de operaes, o regimento de gerenciamento de mudana ou processo de controle de mudana necessita ser acompanhado.

O processo de gesto de mudana entender, comunicar e documentar qualquer mudana com o objetivo de evitar impactos diretos e indiretos na operao.Gerenciamento de mudanas

Identificar a mudanaPropor a mudanaAvaliar o risco associado a mudanaTestar a mudanaAgendar a mudanaNotificar as partes impactadas da mudanaImplementar a mudanaReportar os resultados de implementao de mudanaImportante!Fases do gerenciamento de mudanas

Todas a mudanas devem ser controladas a auditadas cuidadosamente; Todos os registros devem ser mantidos. Algumas mudanas podem desestabilizar sistemas ou causar outros problemas;A auditoria na gesto de mudanas permite o staff de operaes investigar problemas causados por erros na realizao da mudana;Os registros permitem que auditores verifiquem que a poltica e os procedimentos de gesto de mudanas esto sendo seguidos.Ateno!

Continuidade das Operaes

n

O Plano de Recuperao de Desastres e o Plano de Continuidade de Negcios so a ltima linha de defesa quando todos os outros planos falharam.Business Disaster Recovery& Business Continuity Plan

n

BCP/DRPPlano de Continuidade de Negcios (Estratgico)Assegurar que o negcio ir continuar a operar antes, durante e depois de um desastre;O foco do BCP o negcio como um todo, garantindo que servios crticos operem no momento e aps um incidente.Planos de Recuperao de Desastres (Ttico)Prov um plano de curto prazo para lidar com disrupes especficas de TI.DRP foca na tentativa de mitigar o impacto de um desastre, em sua resposta imediata e na recuperao de sistemas crticos..

n

BCP/DRPTrs tpicos causadores de desastres

n

BCP/DRPPlano de Continuidade de Negcios (Estratgico)Assegurar que o negcio ir continuar a operar antes, durante e depois de um desastre;O foco do BCP o negcio como um todo, garantindo que servios crticos operem no momento e aps um incidente.Plano de Recuperao de Desastres (Ttico)Prov um plano de curto prazo para lidar com disrupes especficas de TI.DRP foca na tentativa de mitigar o impacto de um desastre, em sua resposta imediata e na recuperao de sistemas crticos..

n

BCP/DRP

Processo de implementao do BCP/DRP

n

BCP/DRP

Pirmide de implantao do BCP/DRP

n

Gerenciamento de Resposta a Incidentes

61

Um incidente de segurana uma ocorrncia prejudicial em um sistema ou rede. Toda organizao est passvel de sofrer incidentes de segurana.

O gerenciamento de resposta a incidentes uma metodologia regimentada e testada para identificar e responder aos incidentes.

O CSIRT (Computer Security Incident Response Team) o grupo responsvel por monitorar, identificar e responder aos incidentes de segurana.

O objetivo do time de resposta a incidentes permitir que a organizao controle o custo e os danos associados com incidentes e ajudar na recuperao rpida dos sistemas impactados.

Gerenciamento de resposta a incidentes

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdfGerenciamento de resposta a incidentesComunicao com reas externas

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdfNIST 800-61 Ciclo de vida de resposta a incidentes

64

PreparaoTreinamento dos profissionais; Polticas e procedimentos;Proviso de ferramentas (notebooks para sniffar a rede, cabos crossover, mdia original de sistema operacional, discos removveis e etc. A preparao deve incluir tudo o que seja necessrio para tratar um incidente, ou algo que faa a resposta a incidentes mais rpida e eficiente.

Deteco e AnliseDeteco (ou Identificao) a fase onde os eventos so analisados que forma que consiga determinar se eles se tratam de um incidente de segurana. Um evento qualquer ao que possa ser auditado em um sistema ou rede, ex: Server reboot, user logging). Um incidente um evento prejudicial, por exemplo um ataque DDoS que derruba um servidor.NIST 800-61 Ciclo de vida de resposta a incidentes

ContenoA fase de conteno o ponto na qual o time de resposta a incidentes tenta fazer com que o incidente no cause estragos na rede. A conteno pode-se resumir em tirar um sistema da rede, isolar trfego, desligar um servidor ou realizar qualquer outro controle que possa evitar danos.

ErradicaoA fase de erradicao envolve duas etapas: remover qualquer software malicioso de um sistema comprometido e entender a causa do incidente de forma que o sistema possa estar limpo e restaurado ao status operacional na fase de recuperao. Para uma organizao se recuperar de forma confivel, a causa deve ser determinada para que os sistemas possam retornar ao estado seguro conhecido sem qualquer risco de serem comprometidos novamente.NIST 800-61 Ciclo de vida de resposta a incidentes

RecuperaoA fase de recuperao envolve restaurar cuidadosamente os sistemas ao status operacional. Tipicamente, a unidade de negcios responsvel pelo sistema ir ditar quando o sistema deve ir voltar a operar. Considere a possibilidade que a infeco possa ter persistido atravs da fase de erradicao. Por este motivo, um monitoramento minucioso do sistema aps seu retorno em produo necessrio.

Lies aprendidasInfelizmente, a fase de lies aprendidas (Tambm conhecida como atividades ps-incidente, reporte ou post-mortem) geralmente negligenciada em um sistema de resposta a incidente imaturo. Este fato infeliz porque a fase de lies aprendidas, se feita corretamente, a fase que possui grande poder de mudar positivamente a postura de segurana.

NIST 800-61 Ciclo de vida de resposta a incidentes

Lies aprendidasO objetivo desta fase prover o relatrio final do incidente, que deve ser entregue gesto.A experincia obtida nesta fase ir ajudar na preparao contnua, onde as lies aprendidas so aplicada para melhorar a preparao e o tratamento de futuros incidentes.NIST 800-61 Ciclo de vida de resposta a incidentes

69Segurana em Cloud Computing

70

71Segurana em Cloud Computing

SSL/TLS no a soluo para tudo...... E nem devemos nos esconder atrs de contratos!

72Segurana em Cloud ComputingEtapasSecure Software Development Life Cycle (SDLC)AutenticaoControle de AcessosPentestMonitoramentoTrusted ComputingAuditoria

73SDLC

74Autenticao

75Controle de Acessos

76Pentest

77Monitoramento

78Trusted ComputingMemory curtainingSecure I/OSealed StorageRemote Attestation

79Auditoria

80

Cloud Security Alliance

177 pginashttps://cloudsecurityalliance.org/

81Perguntas e Comentrios?

Obrigado!

tiagotvrs@gmail.com@tiagotvrs

Parceiro